CVE-2025-25186: DoS-вразливість у net-imap
Опублікував nevans 10-02-2025
Переклав: Andrii Furmanets
Існує можливість DoS-атаки в gem net-imap. Цій вразливості присвоєно ідентифікатор CVE CVE-2025-25186. Рекомендуємо оновити gem net-imap.
Деталі
Зловмисний сервер може надсилати сильно стиснені дані uid-set, які автоматично читаються потоком отримання клієнта. Парсер відповіді використовує Range#to_a для перетворення даних uid-set на масиви цілих чисел без обмеження розгорнутого розміру діапазонів.
Будь ласка, оновіть gem net-imap до версії 0.3.8, 0.4.19, 0.5.6 або новішої.
Уражені версії
- версії gem net-imap 0.3.2-0.3.7, 0.4.0-0.4.18 та 0.5.0-0.5.5 (включно).
Подяки
Дякуємо manun за виявлення цієї проблеми.
Історія
- Початково опубліковано 2025-02-10 03:00:00 (UTC)
Останні новини
Оновлення айдентики нашого сайту
Раді оголосити про комплексне оновлення нашого сайту. Дизайн для цього оновлення створила Taeko Akatsuka.
Опублікував Hiroshi SHIBATA 22-12-2025
Вийшов Ruby 4.0.0 preview3
Раді повідомити про вихід Ruby 4.0.0-preview3. Ruby 4.0 вводить Ruby::Box і “ZJIT” та додає багато покращень.
Опублікував naruse 18-12-2025
Вийшов Ruby 3.4.8
Вийшов Ruby 3.4.8.
Опублікував k0kubun 17-12-2025
Вийшов Ruby 4.0.0 preview2
Раді повідомити про вихід Ruby 4.0.0-preview2. Ruby 4.0 оновлює версію Unicode до 17,0.0 тощо.
Опублікував naruse 17-11-2025